QR-Codes haben sich innerhalb weniger Jahre von einer Spielerei zu einer alltäglichen Gewohnheit entwickelt. Kunden scannen sie auf Restauranttischen, Parkscheinautomaten, Produktverpackungen, Rechnungen und Plakaten, ohne lange nachzudenken. Genau dieses Vertrauen nutzen Kriminelle mit einer Technik aus, die inzwischen als Quishing bekannt ist: QR-Code-Phishing.
Anders als bei einem verdächtigen Link in einer E-Mail gibt ein QR-Code keinen optischen Hinweis darauf, wohin er führt, bis die Kamera des Smartphones ihn entschlüsselt hat, und dann ist der Browser oft schon geöffnet. Für Unternehmen, die QR-Codes für Speisekarten, Zahlungen, Tickets oder Marketing einsetzen, ist das Verständnis von Quishing keine Option mehr, sondern eine Frage des Kundenvertrauens und des Markenschutzes.
Wie Quishing tatsächlich aussieht
Quishing-Angriffe folgen in der Regel einigen wiederkehrenden Mustern:
- Aufkleber-Overlays. Ein gefälschter QR-Aufkleber wird direkt über einen echten geklebt, etwa auf einem Parkscheinautomaten, einer Speisekarte, einem Plakat oder einer Paketstation.
- Gefälschte Zahlungs- oder Behördenschreiben. Gedruckte Briefe oder Flyer geben sich als Finanzamt, Paketdienst oder Versorgungsunternehmen aus und fordern den Empfänger auf, einen Code zu scannen, um eine Zahlung oder ein Bußgeld zu "bestätigen".
- Betrügerische Plakate und Flyer im öffentlichen Raum. Diese verweisen häufig auf kostenloses WLAN, Gewinnspiele oder Event-Check-ins, um zu einem schnellen Scan zu verleiten.
- Quishing per E-Mail und PDF. Ein in ein Dokument oder eine E-Mail eingebetteter QR-Code umgeht viele Spam- und Link-Filter, da es sich um ein Bild und keinen anklickbaren Text handelt, leitet aber nach dem Scannen dennoch auf eine Seite zum Abgreifen von Zugangsdaten weiter.
Das Endziel ist meist eines von zwei Dingen: das Abgreifen von Anmeldedaten oder Zahlungsinformationen über eine gefälschte Website, oder das Installieren schädlicher Konfigurationsprofile und Apps auf einem mobilen Gerät.
Warum QR-Codes eine wirksame Angriffsfläche bieten
Im Vergleich zu klassischen Phishing-Links machen mehrere Faktoren QR-Codes für Angreifer besonders attraktiv.
- Keine sichtbare URL vor dem Scan. Nutzer können nicht wie bei einem Hyperlink mit der Maus über einen QR-Code fahren, um das Ziel vorab zu sehen.
- Physische Platzierung umgeht digitale Filter. Ein Aufkleber auf einem realen Objekt wird weder von einem E-Mail-Sicherheitsgateway noch von der Phishing-Sperrliste eines Browsers erfasst.
- Gewohnheitsmäßiges, reibungsloses Vertrauen. Das Scannen eines QR-Codes ist zu einer automatischen Handlung geworden, ähnlich wie das Antippen einer Benachrichtigung, ohne bewusste Risikoabwägung.
- Der mobile Kontext verringert die Aufmerksamkeit. Kleine Bildschirme erschweren es, vollständige URLs zu lesen, Schreibfehler in Domains zu erkennen oder HTTPS und Zertifikatsdetails zu prüfen.
Untersuchungen zum Verbrauchervertrauen zeigen immer wieder, dass Menschen die Echtheit eines QR-Codes anhand seines physischen Kontexts beurteilen. Ein Code auf einer offiziell wirkenden Speisekarte oder einem behördlichen Schreiben wird als sicher angenommen, anstatt den zugrunde liegenden Link zu überprüfen. Genau diese Annahme macht sich Quishing zunutze.
Wie Kunden und Mitarbeiter einen gefälschten QR-Code erkennen
Praktische, leicht vermittelbare Gewohnheiten senken das Risiko erheblich, auch ohne technische Hilfsmittel:
- Den Code physisch prüfen. Ein Aufkleber über einem anderen Code, unregelmäßige Kanten, eine abweichende Druckqualität oder ein leicht verschobener Code sind allesamt Warnsignale.
- Die Vorschau-URL vor dem Öffnen prüfen. Die meisten modernen Smartphone-Kameras zeigen das Ziellink vor dem Öffnen an. Ermutigen Sie Kunden, die vollständige Domain zu lesen und nicht nur die ersten Zeichen.
- Vorsicht bei Dringlichkeit und unerwarteten Codes. Bußgelder, "unbezahltes Parken", "Paket bestätigen" und zeitlich begrenzte Angebote sind gängige Drucktaktiken, die ein sorgfältiges Lesen verhindern sollen.
- Keine Zugangsdaten oder Zahlungsinformationen direkt nach dem Scannen eingeben. Führt ein QR-Code zu einer Anmeldeseite, ist es sicherer, die offizielle Website direkt aufzurufen, anstatt das Passwort auf der verlinkten Seite einzugeben.
- Auf eine erkennbare, markenbasierte Domain achten. Ein QR-Code, der zu einer Domain führt, die zum Unternehmen passt, statt zu einem generischen oder unbekannten Kürzungsdienst, lässt sich auf einen Blick deutlich leichter vertrauen und überprüfen.
Genau an diesem letzten Punkt haben Unternehmen echten Einfluss auf das Ergebnis, und er führt direkt zu einer der wirksamsten strukturellen Schutzmaßnahmen gegen Quishing.
Markenbasierte Kurzdomains: eine strukturelle Schutzmaßnahme, keine reine Designfrage
Viele QR-Code-Generatoren leiten jeden Code über dieselbe generische Kurzdomain, die von Millionen unabhängiger Codes aus unabhängigen Konten gemeinsam genutzt wird. Das schafft zwei Probleme. Erstens können Kunden Ihren legitimen Code nicht von dem eines anderen Unternehmens oder von einem bösartigen Code unterscheiden, da die Domain selbst kein Markensignal trägt. Zweitens werden generische Kürzungsdienste häufig missbraucht, was dazu führt, dass einige davon im Laufe der Zeit von Browsern und Sicherheitstools blockiert oder markiert werden, wodurch mitunter auch völlig legitime Codes betroffen sind, die zufällig unter dem gleichen Domain-Ruf leiden.
Eine markenbasierte Kurzdomain, zum Beispiel go.ihrunternehmen.eu statt eines generischen, gemeinsam genutzten Kürzungsdienstes, gibt Kunden etwas Konkretes zur Überprüfung. Sie bestätigt, dass der Code von dem Unternehmen stammt, dem der Kunde bereits vertraut, und erschwert das Fälschen, da Angreifer Ihre spezifische Domain nachahmen müssten, statt sich an einen generischen Dienst anzuhängen, der ohnehin für alle unbekannt wirkt.
In Kombination mit den sichtbaren Linkvorschauen moderner Smartphones verwandelt eine markenbasierte Domain einen "blinden Scan" in etwas, das dem Lesen einer gewöhnlichen, überprüfbaren Webadresse ähnelt. Diese eine Veränderung schließt einen großen Teil der Vertrauenslücke, auf die Quishing angewiesen ist.
Wie EUQR das Quishing-Risiko bereits im Design verringert
EUQR wurde auf der Annahme aufgebaut, dass QR-Codes heute eine kritische Infrastruktur für Kundeninteraktionen darstellen und kein beliebiges Marketing-Gimmick sind, und dass sie mit derselben Sorgfalt behandelt werden sollten wie jedes andere öffentlich zugängliche digitale Asset. Einige Designentscheidungen wirken sich unmittelbar auf die Quishing-Resistenz aus:
- In der EU gehostete Infrastruktur. Daten und Weiterleitungslogik verbleiben innerhalb der EU, was sowohl für die DSGVO-Konformität als auch für eine klare, vorhersehbare Kontrolle darüber wichtig ist, wo Scan-Daten von Kunden verarbeitet werden.
- Datenschutzorientierte Datenverarbeitung. EUQR verzichtet auf unnötiges Tracking und die Weitergabe von Daten an Dritte, wodurch die Menge an Kundeninformationen verringert wird, die Angreifern zur Verfügung stünden, selbst wenn ein Code oder ein Konto jemals kompromittiert würde.
- Unterstützung markenbasierter, überprüfbarer Kurzdomains. Unternehmen können für QR-Weiterleitungen ihre eigene Domain nutzen statt eines generischen, gemeinsam genutzten Kürzungsdienstes, was Kunden ein erkennbares, überprüfbares Ziel bietet.
- Dynamische Code-Verwaltung. Da das Ziel hinter einem Code zentral aktualisiert und überwacht werden kann, können Unternehmen schnell reagieren, wenn ein Code als manipuliert oder missbraucht gemeldet wird, ohne jedes physische Exemplar neu drucken zu müssen.
- Klare Zuordnung und Nachvollziehbarkeit. Codes sind an ein verifiziertes Konto gebunden, sodass sich im Streitfall oder bei einer Betrugsmeldung leicht nachweisen lässt, welche Codes tatsächlich vom Unternehmen ausgegeben wurden.
Nichts davon ersetzt die grundlegende Wachsamkeit der Kunden, aber es beseitigt mehrere strukturelle Schwachstellen, auf die Quishing-Angriffe angewiesen sind: anonyme, gemeinsam genutzte Domains, undurchsichtige Datenverarbeitung und das Fehlen einer klaren Möglichkeit zu überprüfen, wer einen bestimmten Code tatsächlich ausgegeben hat.
Fazit
Quishing funktioniert, weil QR-Codes ihr Vertrauen aus dem physischen Kontext beziehen, statt es sich durch einen überprüfbaren digitalen Link zu verdienen. Unternehmen, die ihre Kunden schützen möchten, müssen beide Seiten dieser Lücke angehen: Kunden und Mitarbeiter darin schulen, Vorschauen zu prüfen und Dringlichkeit zu hinterfragen, sowie eine QR-Infrastruktur wählen, die markenbasierte Domains, Hosting in der EU und einen datenschutzbewussten Umgang mit Daten bietet. QR-Codes als ernstzunehmenden Teil Ihres digitalen Auftritts zu behandeln, statt als Nebensache, ist der zuverlässigste Weg, die Bequemlichkeit zu nutzen, ohne das Risiko zu übernehmen.